Група Lazarus, паўночнакарэйская хакерская арганізацыя, раней звязаная са злачыннай дзейнасцю, была падключана да новай схемы атакі для ўзлому сістэм і крадзяжу крыптавалюты ў трэціх асоб. Кампанія, якая выкарыстоўвае мадыфікаваную версію ўжо існуючага шкоднаснага прадукту пад назвай Applejeus, выкарыстоўвае крыптасайт і нават дакументы для атрымання доступу да сістэм.
Мадыфікаванае шкоднаснае ПЗ Lazarus выкарыстоўвала крыптасайт у якасці фасада
Volexity, кампанія па кібербяспецы, якая базуецца ў Вашынгтоне, звязала Lazarus, паўночнакарэйскую хакерскую групу, ужо санкцыянаваную ўрадам ЗША, з пагрозай выкарыстання крыптасайта для заражэння сістэм з мэтай крадзяжу інфармацыі і крыптавалюты ў трэціх асоб.
Паведамленне ў блогу выпушчаны 1 снежня высветлілася, што ў чэрвені Lazarus зарэгістраваў дамен пад назвай «bloxholder.com», які пазней будзе створаны як бізнес, які прапануе паслугі аўтаматычнага гандлю крыптавалютамі. Выкарыстоўваючы гэты сайт у якасці фасада, Lazarus прапанаваў карыстальнікам загрузіць прыкладанне, якое служыла карыснай нагрузкай для дастаўкі шкоднасных праграм Applejeus, накіраваных на крадзеж закрытых ключоў і іншых даных з сістэм карыстальнікаў.
Гэтую ж стратэгію Лазар выкарыстоўваў і раней. Тым не менш, гэтая новая схема выкарыстоўвае тэхніку, якая дазваляе прыкладанню «заблытаць і запаволіць» задачы выяўлення шкоднасных праграм.
Макрасы дакументаў
Volexity таксама выявіла, што ў кастрычніку змянілася тэхніка дастаўкі гэтай шкоднаснай праграмы канчатковым карыстальнікам. Метад ператварыўся ў выкарыстанне дакументаў Office, у прыватнасці, электронных табліц, якія змяшчаюць макрасы, свайго роду праграмы, убудаваныя ў дакументы, прызначаныя для ўстаноўкі шкоднасных праграм Applejeus на кампутар.
У дакуменце пад назвай «OKX Binance & Huobi VIP fee comparision.xls» паказаны перавагі, якія нібыта прапануе кожная з VIP-праграм гэтых біржаў на розных узроўнях. Каб змякчыць гэты від нападу, рэкамендуецца блакаваць выкананне макрасаў у дакументах, а таксама ўважліва сачыць за стварэннем новых задач у АС, каб быць у курсе новых неапазнаных задач, якія працуюць у фонавым рэжыме. Аднак Veloxity не паведамляе пра ўзровень ахопу, якога дасягнула гэтая кампанія.
Лазар быў фармальна абвінавачваны Міністэрства юстыцыі ЗША (DOJ) у лютым 2021 г. з удзелам аператыўніка групы, звязанай з паўночнакарэйскай разведвальнай арганізацыяй Reconnaissance General Bureau (RGB). Да гэтага, у сакавіку 2020 г., Міністэрства юстыцыі абвінавачваны двое грамадзян Кітая за дапамогу ў адмыванні больш чым 100 мільёнаў долараў у крыптавалюце, звязаных з подзвігамі Лазара.
Што вы думаеце пра апошнюю кампанію Lazarus па шкоднасных праграмах для крыптавалют? Раскажыце нам у раздзеле каментарыяў ніжэй.
крэдыты малюнка: Shutterstock, Pixabay, Wiki Commons
адмова: Гэты артыкул прызначана выключна ў інфармацыйных мэтах. Гэта не прамая прапанова альбо хадайніцтва аб куплі-продажы, альбо рэкамендацыя альбо адабрэнне якіх-небудзь прадуктаў, паслуг ці кампаній. Bitcoin.com не дае інвестыцыйных, падатковых, юрыдычных і бухгалтарскіх кансультацый. Ні кампанія, ні яе аўтар не нясуць прамой ці ўскоснай адказнасці за шкоду альбо страты, якія былі выкліканыя альбо нібыта выкліканы альбо звязаны з выкарыстаннем альбо давядзеннем якога-небудзь зместу, тавараў ці паслуг, згаданых у гэтым артыкуле.
Крыніца: https://news.bitcoin.com/north-korean-lazarus-group-linked-to-new-cryptocurrency-hacking-scheme/